sankyhack/Kubernetes-Detection-Engineering
GitHub: sankyhack/Kubernetes-Detection-Engineering
基于 MITRE 框架的 Kubernetes 集群检测工程资源,提供 Falco 规则和审计策略用于检测持久化、执行、凭证访问、权限提升等攻击行为。
Stars: 2 | Forks: 0
# Kubernetes-Detection-Engineering
Kubernetes 是一个容器编排平台,用于简化/自动化跨主机集群的容器化应用程序的部署、扩展和管理
我们将介绍攻击者如何使用各种 Kubernetes API 来探索/利用集群。
一旦攻击者闯入集群,从侦察/信息收集到数据窃取,使用了哪些不同的 API,以及作为防御者我们如何检测它。
为此,我使用了 Kube-Goat 集群进行测试。Fluentd 被配置为将日志发送到 Elastic 服务器。
你也可以使用 kubectl 来触发测试规则。
一旦日志进入 Elastic,你可以使用 SIEM 创建规则,为此我创建了 Falco 规则,这将有助于理解检测背后的逻辑, 你可以将其转换为相关的 SIEM 查询。
该仓库包含全面的审计策略 (Audit policy) 和 Falco 规则,用于检测真实世界的攻击,并根据 MITRE 框架进行了映射 **项目概述** 该项目的目标是为 Kubernetes 集群受损的关键阶段提供高保真的检测。 创建的规则旨在检测: **持久化**:检测控制器和存储中的后门。
**执行**:监控交互式会话和批处理作业。
**凭证访问**:针对 Secret/ConfigMap 的窃取行为发出警报。
**权限提升**:监控 RBAC 篡改和 ServiceAccount 滥用。
在利用 (exploitation) 目录中,我重点关注了 API,基于 MITRE 战术,涵盖了针对各种战术的 20 多个 API。 未来更新:
用于测试的 kubectl 命令
我们将介绍攻击者如何使用各种 Kubernetes API 来探索/利用集群。
一旦攻击者闯入集群,从侦察/信息收集到数据窃取,使用了哪些不同的 API,以及作为防御者我们如何检测它。
为此,我使用了 Kube-Goat 集群进行测试。Fluentd 被配置为将日志发送到 Elastic 服务器。
你也可以使用 kubectl 来触发测试规则。
一旦日志进入 Elastic,你可以使用 SIEM 创建规则,为此我创建了 Falco 规则,这将有助于理解检测背后的逻辑, 你可以将其转换为相关的 SIEM 查询。
该仓库包含全面的审计策略 (Audit policy) 和 Falco 规则,用于检测真实世界的攻击,并根据 MITRE 框架进行了映射 **项目概述** 该项目的目标是为 Kubernetes 集群受损的关键阶段提供高保真的检测。 创建的规则旨在检测: **持久化**:检测控制器和存储中的后门。
**执行**:监控交互式会话和批处理作业。
**凭证访问**:针对 Secret/ConfigMap 的窃取行为发出警报。
**权限提升**:监控 RBAC 篡改和 ServiceAccount 滥用。
在利用 (exploitation) 目录中,我重点关注了 API,基于 MITRE 战术,涵盖了针对各种战术的 20 多个 API。 未来更新:
用于测试的 kubectl 命令
标签:AMSI绕过, API安全, Elasticsearch, Elastic Stack, Falco, Fluentd, JSON输出, Kube-Goat, Pandas, RBAC, URL发现, Web截图, 威胁检测, 子域名突变, 子域枚举, 安全检测, 审计日志, 容器安全, 敏感词过滤, 流量重放